image

Wifi-netwerken in Europese hotels doelwit van aanvallers

vrijdag 11 augustus 2017, 15:55 door Redactie, 0 reacties

Een groep aanvallers heeft hotels in Europa en het Midden-Oosten gehackt om zo toegang tot de wifi-netwerken te krijgen waar gasten en medewerkers gebruik van maken. De aanvallers staan bekend onder de naam APT28 en Fancy Bear, zo laat securitybedrijf FireEye vandaag in een blogpost weten.

Het zou gaan om hotels in tenminste zeven Europese landen. Om toegang tot de hotels te krijgen versturen de aanvallers zogenaamde hotelreserveringen. In werkelijkheid gaat het om documenten met een kwaadaardige macro. Als de hotelmedewerker de macro inschakelt wordt er malware op het systeem geïnstalleerd. Zodra de aanvallers toegang tot het netwerk hebben maken ze gebruik van de EternalBlue-exploit van de NSA en de opensourcetool Responder om zich lateraal door het netwerk te bewegen. De aanvallers zoeken daarbij naar machines die voor het beheer van het bedrijfs- en gasten-wifi-netwerk worden gebruikt.

Zodra er toegang tot deze machines is verkregen maken de aanvallers gebruik van Responder om NetBIOS Name Service (NBT-NS) poisoning uit te voeren. Bij deze techniek wordt er geluisterd naar broadcasts van de computer van het doelwit die met een server verbinding probeert te maken. Zodra de broadcast wordt ontvangen doet Responder zich als de server voor, waardoor de computer de gebruikersnaam en het gehashte wachtwoord naar de machine van de aanvaller terugstuurt. Deze gegevens kunnen de aanvallers gebruiken bij aanvallen op het netwerk van het slachtoffer. Volgens FireEye zijn er bij de gehackte hotels geen aanvallen waargenomen waarbij de wachtwoorden van gasten zijn gestolen, maar is er een ander incident dat eind vorig jaar plaatsvond waarbij de aanvallers toegang tot het netwerk van een slachtoffer wisten te krijgen via gegevens die mogelijk zijn gestolen via het wifi-netwerk van een hotel.

Bij het incident in 2016 werd het slachtoffer gehackt nadat hij verbinding met het wifi-netwerk van een hotel had gemaakt. Twaalf uur nadat het slachtoffer op het wifi-netwerk was ingelogd wisten de aanvallers met gestolen inloggegevens op de machine in te loggen. In deze twaalf uur hadden de aanvallers het onderschepte gehashte wachtwoord kunnen kraken, maar dit is niet bewezen. Nadat de aanvallers toegang tot de machine hadden gekregen werd daarvandaan het netwerk van het slachtoffer aangevallen. Bij dit incident is het echter onbekend hoe de aanvallers de inloggegevens wisten te bemachtigen. Het aanvallen van gasten via wifi-netwerken in hotels is niet nieuw. In 2014 werd dit al gedaan door een groep aanvallers die de naam DarkHotel kreeg. FireEye geeft hotelgasten dan ook het advies om openbare wifi-netwerken wanneer mogelijk te vermijden.

APT28 staat naast Fancy Bear ook bekend als Pawn Storm, Sofacy en Strontium. Volgens verschillende beveiligingsbedrijven gaat het om een groep hackers die vanuit Rusland opereren en mogelijk steun van de Russische overheid krijgen. De groep wordt voor een groot aantal aanvallen verantwoordelijk gehouden. Eerder werden de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, de Duitse politieke partij CDU, Sanoma, de presidentscampagne van Hillary Clinton, de Franse televisiezender TV5, het Wereld Anti-Doping Agentschap (WADA), de internationale atletiekbond IAAF, MH17-onderzoekers van het onderzoekscollectief Bellingcat, de democratische topman John Podesta en het campagneteam van de Franse president Macron door de groep aangevallen.

Image

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.